Die meisten deutschen Unternehmen wissen nicht, dass diese Pflicht existiert.
Seit dem 2. Februar 2025 muss jedes Unternehmen, das KI einsetzt, sicherstellen, dass die eigenen Mitarbeiter über ausreichende KI-Kompetenz verfügen. Das ist keine Empfehlung. Das ist Artikel 4 der KI-Verordnung (EU) 2024/1689, besser bekannt als EU AI Act. Und es gilt jetzt.
Ich sehe das Thema kaum in Diskussionen auftauchen. Wenn über den EU AI Act gesprochen wird, geht es meistens um Hochrisiko-KI, um Verbote, um die großen Anbieter. Artikel 4 bekommt wenig Aufmerksamkeit. Dabei betrifft er die meisten Unternehmen deutlich unmittelbarer als die Hochrisiko-Klassifizierung.
Was Artikel 4 tatsächlich verlangt
Der Wortlaut ist kurz. Anbieter und Betreiber von KI-Systemen müssen Maßnahmen ergreifen, um sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag KI-Systeme nutzen, über ein „ausreichendes Maß an KI-Kompetenz” verfügen.
Die Verordnung definiert das bewusst offen. Es gibt kein vorgeschriebenes Schulungsprogramm. Keine Zertifizierung, die man vorweisen muss. Stattdessen soll die Kompetenz verhältnismäßig sein, abgestimmt auf den Kontext, die technischen Kenntnisse und die Erfahrung der betreffenden Personen.
Klingt vage? Ist es auch. Aber „vage” bedeutet nicht „unverbindlich”. Die Pflicht steht im Gesetzestext. Und die Aufsichtsbehörden werden sie auslegen, wenn sie anfangen zu prüfen.
Wen betrifft das?
Jeden. Wirklich jeden, der KI einsetzt.
Das Gesetz unterscheidet nicht nach Unternehmensgröße. Es gibt keine Ausnahme für kleine Firmen, keine Schwelle ab einer bestimmten Mitarbeiterzahl. Der entscheidende Begriff ist „Betreiber”. Wenn Ihre Mitarbeiter KI-Tools in ihrer Arbeit verwenden, sind Sie Betreiber im Sinne der Verordnung.
Konkret: Eine Steuerkanzlei mit fünf Mitarbeitern, die ChatGPT für Recherche nutzt, ist genauso betroffen wie eine Kanzlei mit 50 Mitarbeitern, die gerade Microsoft Copilot ausrollt. Auch der Finanzberater mit KI-gestützten Analyse-Tools fällt darunter.
Wenn Sie sich fragen, ob das auf Sie zutrifft: Fragen Sie Ihre Mitarbeiter, welche Tools sie im Arbeitsalltag nutzen. Die Antwort wird Sie vermutlich überraschen. ChatGPT, Copilot, DeepL, KI-gestützte Übersetzungen in Outlook. KI ist längst da, auch wenn niemand offiziell eine Entscheidung dafür getroffen hat.
Was „ausreichende KI-Kompetenz” in der Praxis heißt
Die Verordnung schreibt keine konkreten Inhalte vor. Aber aus dem Kontext und den Erwägungsgründen lässt sich ableiten, was gemeint ist. Mitarbeiter müssen verstehen:
- Welche KI-Tools sie verwenden und was diese Tools tun
- Wie diese Tools Daten verarbeiten (lokal, Cloud, EU, außerhalb der EU)
- Wo die Grenzen und Risiken der Tools liegen (Halluzinationen, Bias, fehlerhafte Ausgaben)
- Welche internen Regeln für die KI-Nutzung gelten
Wichtig: Die Kompetenz muss zur Rolle passen. Ein Partner, der über die Einführung von KI-Tools entscheidet, braucht ein anderes Verständnis als eine Sachbearbeiterin, die Copilot für E-Mail-Zusammenfassungen nutzt. Der Partner muss die strategischen und rechtlichen Implikationen einschätzen können. Die Sachbearbeiterin muss wissen, welche Daten sie eingeben darf und welche nicht, und wann sie dem Output nicht blind vertrauen sollte.
Das ist keine theoretische Unterscheidung. Wenn eine Aufsichtsbehörde fragt, wie Sie KI-Kompetenz sicherstellen, will sie sehen, dass Sie sich Gedanken gemacht haben. Ein generisches Schulungsvideo für alle reicht da nicht. Es muss erkennbar sein, dass Ihr Konzept zur tatsächlichen KI-Nutzung in Ihrem Unternehmen passt.
Die Zeitschiene
Die Pflicht gilt seit dem 2. Februar 2025. Das ist kein Druckfehler. Die Kompetenzpflicht aus Artikel 4 ist bereits in Kraft. Sie gehört zu den Bestimmungen des EU AI Act, die sofort wirksam wurden, nicht erst mit den späteren Fristen für Hochrisiko-Systeme.
Die nationale Durchsetzung beginnt ab dem 2. August 2026. Zu diesem Zeitpunkt müssen die Mitgliedstaaten Aufsichtsbehörden benannt und Sanktionsregelungen eingeführt haben. Ab dann wird geprüft.
Das sind weniger als vier Monate von heute. Eine Übergangsfrist wurde bisher nicht angekündigt.
Ich sage das nicht, um Druck aufzubauen. Sondern weil ich beobachte, dass viele Unternehmen den August 2025 im Kopf haben (Verbote bestimmter KI-Praktiken) oder Februar 2027 (Hochrisiko-Pflichten) und dabei übersehen, dass die Kompetenzpflicht schon jetzt gilt und die Durchsetzung in Kürze folgt.
Welche Dokumentation Sie haben sollten
Das Gesetz schreibt noch kein bestimmtes Dokumentationsformat vor. Die konkreten Anforderungen werden sich erst durch Leitlinien der Aufsichtsbehörden und die nationale Umsetzung präzisieren.
Trotzdem: Dokumentation schützt Sie. Wenn eine Aufsichtsbehörde fragt „Wie stellen Sie die KI-Kompetenz Ihrer Mitarbeiter sicher?”, will sie ein System sehen. Perfekt muss es nicht sein. Aber erkennbar durchdacht.
Was ich empfehle:
Erstens: ein Schulungsnachweis. Wer wurde wann zu welchem Thema geschult? Eine einfache Tabelle reicht. Name, Datum, Inhalt der Schulung, Unterschrift. Kein hoher Aufwand, aber der Unterschied zwischen „wir haben was gemacht” und „hier ist der Nachweis”.
Zweitens: eine Freigabeliste der KI-Tools. Welche Tools sind in Ihrem Unternehmen zugelassen? Warum wurden sie freigegeben? Welche Lizenzstufe wird genutzt? Wo werden Daten verarbeitet? Wenn alles in einem Dokument steht, müssen Sie bei einer Prüfung nicht improvisieren.
Drittens: eine interne Nutzungsrichtlinie. Was dürfen Mitarbeiter mit KI-Tools tun, was nicht? Welche Daten darf man eingeben? Wie geht man mit Ausgaben um? An wen wendet man sich bei Fragen? Ich habe darüber ausführlich im Artikel Warum Standard-KI-Tools bei regulierten Unternehmen scheitern geschrieben.
Diese drei Dinge zusammen zeigen einer Aufsichtsbehörde: Sie haben sich mit dem Thema befasst. Das ist kein Garant gegen Sanktionen, aber es ist die Grundlage jeder Verteidigung.
Wie Sie anfangen
Wenn Sie bisher nichts in diese Richtung unternommen haben, fangen Sie klein an. Sie müssen nicht alles auf einmal lösen.
Fangen Sie mit einer Bestandsaufnahme an. Finden Sie heraus, welche KI-Tools in Ihrem Unternehmen im Einsatz sind. Fragen Sie Ihre Mitarbeiter direkt. Prüfen Sie installierte Software und Browser-Erweiterungen. Die Ergebnisse sind oft überraschend.
Dann schreiben Sie eine Nutzungsrichtlinie. Eine Seite reicht. Welche Tools sind erlaubt, welche Daten dürfen eingegeben werden, welche nicht. Keine 30 Seiten, keine Juristenprosa.
Und dann: eine Schulung. 60 Minuten mit dem gesamten Team. Was ist KI? Welche Tools nutzen wir? Welche Regeln gelten? Teilnahme dokumentieren, fertig.
Das klingt einfach, weil es einfach ist. Die Pflicht aus Artikel 4 verlangt kein Millionenbudget. Sie verlangt, dass Sie sich damit befassen und das nachweisen können.
Ich integriere die KI-Kompetenz-Dokumentation in jedes Compliance-Projekt, das ich durchführe. Schulung, Richtlinie, Nachweis. Ohne das funktioniert der Rest nicht. Sie können die beste technische Konfiguration haben. Wenn die Leute, die damit arbeiten, nicht wissen, was sie tun und was sie lassen sollen, bringt das nichts.
Es geht nicht um Panik
Die KI-Kompetenzpflicht ist kein Schreckgespenst. Eigentlich ist sie gesunder Menschenverstand: Wer KI einsetzt, sollte verstehen, was das Werkzeug tut. Der Gesetzgeber hat das jetzt formalisiert. Ob man das für übertrieben hält oder nicht, spielt keine Rolle. Es steht im Gesetz.
Und ab August 2026 wird jemand fragen, ob Sie vorbereitet sind.
Nicht sicher, wo Ihr Unternehmen steht? Der KI-Compliance-Check dauert 2 Minuten und zeigt, wo Handlungsbedarf besteht. Oder schauen Sie sich direkt an, was ich anbiete.
Lieber direkt sprechen? Buchen Sie ein kostenloses 30-Minuten-Gespräch. Kein Verkaufsgespräch, nur eine ehrliche Einschätzung, wo Sie stehen.
Jose Lugo ist CISSP-zertifizierter KI-Compliance-Berater mit Sitz in Deutschland. Er unterstützt Steuerberater, Kanzleien und Finanzberater bei der DSGVO-konformen Einführung von KI-Tools, einschließlich Mitarbeiterschulung und KI-Kompetenz-Dokumentation nach EU AI Act.